Seguridad

Recomendaciones para implementar tarjetas inteligentes en Win2K

Aprenda qué servicios de componentes relacionados con Windows 2000 se requieren para facilitar la implementación de tarjetas inteligentes

Cuando la Exposición y Conferencia Internacional de Tecnología (ITEC) llegó a Seattle recientemente, muchos asistentes se sorprendieron al descubrir que tenían que registrarse con una tarjeta inteligente. Con estas tarjetas plásticas, ingresamos a la feria, registramos los sorteos y registramos nuestra información de contacto con el proveedor. Obviamente, esto tiene sentido y es beneficioso porque es rápido, eficiente y preciso.

Sin embargo, me he dado cuenta del potencial que ofrece la tecnología de tarjetas inteligentes porque mi organización recientemente implementó tarjetas inteligentes en Windows 2000. Quedé impresionado con la simplicidad y el poder de las tarjetas inteligentes en Win2K, y creo que usted también lo estará. vamos a ver.

Encuentre el producto adecuado
Hace unos meses, comenzamos a investigar la posibilidad de utilizar la autenticación con tarjeta inteligente en nuestra red de Windows 2000. No estábamos seguros de lo que estábamos buscando, así que cuando hicimos una búsqueda exhaustiva en Internet, encontramos miles de resultados. Nos sorprendió descubrir que los lectores/escritores eran mucho más baratos (de $30 a $100) de lo que pensábamos. Luego, descubrimos por qué: la propia tarjeta inteligente debe programarse para aceptar información. Cada tarjeta tiene un pequeño microchip que puede contener de 8K a 16K de memoria. El punto es que el chip necesita ser programado. La mayoría de las empresas que encontramos requerían algún tipo de conocimiento de programación que no teníamos.

Por lo tanto, examinamos la documentación de Microsoft para ver qué ofrece Windows 2000 en particular para admitir la autenticación con tarjeta inteligente. Descubrimos que Windows 2000 admite dos tipos de tarjetas inteligentes de forma predeterminada: GemSAFE y tarjetas inteligentes de Schlumberger.

Pedimos un kit de Schlumberger (Cryptoflex es el nombre del producto) ya que parecía venir con mejor documentación. («Leer el manual» es mi segundo nombre). La Figura A muestra la tarjeta Cryptoflex. El lector cuesta $49 y un juego de cinco tarjetas inteligentes cuesta $80. Por supuesto, la razón por la que estas tarjetas son tan caras es que cada una tiene 8K de memoria, y Schlumberger acaba de lanzar una tarjeta más avanzada con 16K de memoria.

LEER  Las vulnerabilidades en las aplicaciones instantáneas de Android podrían usarse para robar el historial, los tokens de autenticación
Figura A
Recomendaciones para implementar tarjetas inteligentes en Win2K
Tarjeta inteligente Cryptoflex

Implementar tarjetas inteligentes
Dentro de las 24 horas posteriores a la recepción de nuestro kit, utilizamos la autenticación con tarjeta inteligente para la implementación de Internet Information Services (IIS) y los inicios de sesión en mi controlador de dominio de Windows 2000. Un lector para una máquina. Elegimos proteger uno de nuestros servidores más críticos. Esta es una buena idea para servidores que no están en cuartos o gabinetes cerrados. Con el lector instalado en el servidor, ahora puedo solicitar la autenticación con tarjeta inteligente para los inicios de sesión locales y otras operaciones, como se describe a continuación.

La configuración de la tarjeta inteligente depende completamente de los servicios de certificados de Windows 2000. Debe configurar una Autoridad de certificación (CA) y luego Servicios de certificados, que es una consola de administración completamente diferente a una CA. La CA se implementa en el servidor, ya que es la «autoridad» responsable de emitir y revocar los certificados. La consola de certificados se utiliza para solicitar certificados y registrar usuarios de certificados.

Por lo tanto, su CA y el registrante de su certificado no tienen que ser el mismo servidor. Configuré una CA que está separada de la máquina donde se registrará el usuario del certificado. Desde el punto de vista de la seguridad, parece sensato en una organización grande tener al menos dos administradores responsables de implementar los Servicios de certificados. Dependiendo del tamaño de su organización, apuntar a dos máquinas para la autenticación de certificados puede ser el objetivo mínimo.

Después de implementar tarjetas inteligentes en su organización, debe contar con el poder de los empleados para rastrear:

  • Pago con la propia tarjeta inteligente.
  • Dar de alta estaciones y administradores de esas estaciones.
  • Políticas que rigen el uso de tarjetas inteligentes y cómo reemplazarlas en caso de pérdida o robo.
  • Mantenimiento del hardware del lector.
  • Solución de problemas de fallas de autenticación.

Dado que GemSAFE y Schlumberger cuentan con documentación detallada sobre sus soluciones específicas y cómo configurarlas, lo remitiré a sus respectivos sitios web para obtener una implementación paso a paso de la autenticación con tarjeta inteligente con sus productos. Mi objetivo es proporcionar una lista de los servicios de componentes relacionados con Windows 2000 que deben implementarse para que la implementación de la tarjeta inteligente sea lo menos dolorosa posible. Debes considerar los siguientes factores:

  • La CA debe ejecutarse en un controlador de dominio de Windows 2000 con un DNS configurado correctamente porque el DNS es fundamental para la comunicación entre la estación de registro y la CA.
  • Debe estar listo para decidir si desea que su CA sea:
    — Enterprise Root CA: si solo está autenticando usuarios y computadoras dentro de su organización.
    – CA subordinada empresarial: si ya tiene una CA raíz empresarial y está configurando una nueva CA.
    – CA raíz independiente: solo emitirá certificados fuera de su red.
    – una CA subordinada separada – si ya tiene una CA raíz separada y necesita otra.
    Los administradores empresariales deben instalar una CA raíz empresarial si desean emitir certificados para usuarios y equipos en subdominios.
    El uso de una CA raíz externa puede causar problemas de compatibilidad con la implementación de Windows 2000 de autenticación con tarjeta inteligente. Consulte la documentación más reciente de Microsoft para asegurarse de que la configuración de la CA raíz externa se realice correctamente.
  • La instalación de Servicios de Certificate Server requiere detener y reiniciar IIS una vez completada la instalación porque IIS es la herramienta utilizada para solicitar servicios de forma remota.
  • La estación de inscripción es donde se instala el lector/grabador de tarjetas inteligentes. En esa estación, debe haber una nueva MMC para el «certificado». (Vaya a Inicio | Ejecutar y escriba mmc, luego vaya a Agregar o quitar complemento | Certificados). Guarde esta consola de certificados, ya que aquí es donde ocurre el registro y la usará con frecuencia cuando agregue usuarios.
  • Al solicitar un certificado para una tarjeta inteligente, es importante seleccionar el botón Opciones avanzadas en el asistente de solicitud de certificado para seleccionar el tipo de cifrado deseado. Por ejemplo, elegimos Schlumberger CSP.
  • La directiva de grupo se debe editar para aplicar la autenticación con tarjeta inteligente, dependiendo de si los usuarios deben usar una tarjeta inteligente cada vez que inician sesión.

¿Por qué usar una tarjeta inteligente? ¿No es suficiente una contraseña?
Las tarjetas inteligentes no pueden reemplazar las contraseñas como medio de seguridad. Las tarjetas inteligentes agregan una capa adicional de seguridad. En la pestaña Cuentas de la página de propiedades del usuario, puede configurar un usuario para solicitarle que inicie sesión en la red mediante una tarjeta inteligente. La Figura B muestra la casilla de verificación Requerir tarjeta inteligente para el inicio de sesión interactivo con esta restricción habilitada. El usuario debe tener una contraseña para usar con su tarjeta inteligente, verificando así la autenticidad del titular de la tarjeta.

Figura B
1667529554 82 Recomendaciones para implementar tarjetas inteligentes en Win2K
Seleccione la casilla de verificación Requerir tarjeta inteligente para el inicio de sesión interactivo para solicitar a los usuarios que inicien sesión con una tarjeta.

La criptografía de Schlumberger se basa en el Estándar de cifrado de datos (DES) y 3DES (Triple DES), que son estándares de la industria ANSI. El chip del microprocesador de cada tarjeta es a prueba de manipulaciones. Incluso si el usuario necesita claves de 512, 768, 1024 o 2048 bits y múltiples certificados para varias aplicaciones, todos pueden almacenarse en una tarjeta inteligente.

Cada tarjeta inteligente con un chip de microprocesador se puede reprogramar con una nueva contraseña y/o certificado. Los registrantes de certificados simplemente solicitan un nuevo certificado, contraseña o PIN.

La mayor ventaja de las tarjetas inteligentes en las pequeñas empresas es el mayor nivel de seguridad. Al agregar algunos scripts, las tarjetas inteligentes también pueden guardar información como los datos de la tarjeta de tiempo, el uso de la computadora y/o la fotocopiadora. Esta información puede volcarse periódicamente en una base de datos y rastrearse, lo que convierte a las tarjetas inteligentes en una fuente objetiva de información sobre la productividad de sus titulares.

¿Cómo pueden las tarjetas inteligentes beneficiar a su organización?

Esperamos saber de usted y escuchar sus experiencias sobre este tema. Únase a la discusión a continuación o envíe un correo electrónico al editor.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba